TR/Swizzor

startseite Gastbuch Kontakt
TR/Swizzor
TR/Swizzor

TR/Swizzor






Beispiel:

Verzeichnis von C:\Dokumente und Einstellungen\Username\Anwendungsdaten

23.06.2006 22:39 -DIR- CLOCKA~1 clockamenpeak
21.06.2006 06:41 -DIR- NETPUM~1 NetPumper

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

25.04.2006 17:27 -DIR- MESSEN~1 Messenger Plus!
16.06.2006 17:06 -DIR- ONLINE~1 online okay each axis

Verzeichnis von C:\WINDOWS\tasks
24.06.2006 12:00 262 A827088B9184BF9F.job


2006-07-28 23:20 -------- d-------- C:\Programme\Messenger Plus! Live
2006-07-28 23:20 -------- d-------- C:\Programme\curbboobcomp
2006-07-28 23:13 -------- d-------- C:\Programme\MessengerPlus! 3

c:\dokumente und einstellungen\all users\startmenü\programme\netpumper
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\NetPumper
C:\Programme\NetPumper
C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Application.dll
C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Audio.dll
C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Video.dll

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
C:\Programme\Messenger Plus! Live
C:\Programme\MessengerPlus! 3
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2

C:\Programme\Anti-Leech
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN

Link : SWIZZOR-Trojaner - Swizzor - Trojaner - Obfuscated.BT.1 - Dldr.Swizzor.Gen
Link : LOP - Trojaner TR/Swizzor, Lop Verseuchung - www.lop.com


Zitat
Messenger Plus! 3 von msgplus.net heruntergeladen. Installiert - natürlich mit der Sponsoring-Option. Das Ding verändert meine Startseite und ballert mich mit PopUps zu. Außerdem legt es ein paar unnütze Verknüpfungen auf meinem Desktop ab und beschert mir beim IE mehrere "hübsche" Werkzeugleisten. In den Favoriten werden Links zu Online-Casinos und verschiedenen Online-Shops eingefügt. Ich mag das nicht, also wird es deinstalliert - aber erstmal nur die Sponsorensoftware. Doch das Programm mag das irgendwie nicht... es stürzt bei dem Versuch ab



[ 1.]

Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html



[ 2. ]

CleanUp
http://virus-protect.org/cleanup.html

[ 3. ]

BEISPIEL:

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.otzofdwxjijkexycdfchxvjk.net/LcBVhruWnLyfYPwSKQWdC9zVCwDg4Gn5rsM4adb2DL49jzZlEG7cu6PPZ5lwev29.html

O2 - BHO: (no name) - {6A8CA112-9F56-640B-67CB-0C170359C7C8} - C:\DOKUME~1\Username\ANWEND~1\WAITBI~1\Bash Ante.exe

O4 - HKCU\..\Run: [im_autorn] C:\WINDOWS\System32\im_2.exe

O4 - HKLM\..\Run: [DownloadDrawThunkBike] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Remote Download Draw\Option 01.exe
O4 - HKCU\..\Run: [Platform Seek] C:\DOKUME~1\Username\ANWEND~1\THUNKL~1\window cool.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\Username\LOKALE~1\Temp\MsgPlusUninst.bat"

O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm



[ 4. ]

PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt
abgesicherter Modus

das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen. Es kommt dann folgende Fehlermeldung:





[ 5. ]

Deinstallieren:

"Start -> Einstellungen -> Systemsteuerung -> Software"

Messenger Plus! 3 / Sponsor
C:\Programme\MessengerPlus! 3 - [siehe :] MessengerPlus! 3

C:\Programme\NetPumper\NetPumperIEProxy.exe

C:\PROGRAMME\C2Media

C:\Programme\Anti-Leech

das Sponsor-Programm (siehe PopUps !! )

C:\Programme\Adverts -> [c:\programme\adverts\uninst.exe]



[ 6. ]

Löschen:
BEISPIEL - Bezeichnungen sind in jedem Fall verschieden - deshalb ins Sicherheitsforum kommen Trojaner TR/Obfuscated ,TR/Swizzor, lop , netpumper , MessengerPlus! 3 , Anti-Leech , popups  -> remove Sicherheitsforum: http://board.protecus.de


C:\Dokumente und Einstellungen\Username\Anwendungsdaten\clockamenpeak
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\online okay each axis

C:\WINDOWS\System32\im_2.exe --> löschen, falls es vorhanden ist



[ 7. ] -> nur XP

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)



[ 8. ]

Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3 und Netpumper
http://virus-protect.org/counterspy1.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu



[ 9. ]

scanne mit Dr.Web (alles löschen oder umbenennen oder verschieben lassen ! )
http://virus-protect.org/cureit.html

danach die Quarantine leeren !

Adware:Adware/Lop -> C:\Dokumente und Einstellungen\Username\DoctorWeb\Quarantine\A0059986.exe
Adware:Adware/Lop -> C:\Dokumente und Einstellungen\Username\DoctorWeb\Quarantine\A0061529.exe



[ 10. ]

scanne mit Panda und lösche alles manuell, was noch angezeigt wird
http://virus-protect.org/onlinescan.html



[ 11. ]

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text in deinen Thread im Sicherheitsforum


Ergebnis (Beispiel)

Volumeseriennummer: 74A0-08B6
Verzeichnis von C:\WINDOWS\tasks
14.04.2006 17:00 282 A58DA13791965BA7.job



Hinweis:
falls du noch keinen Thread eröffnet hast, eröffne hier einen Thread: http://board.protecus.de/f7.htm


BEISPIEL: .. den Task kann man nur korrekt loeschen, wenn der Eintrag von findjobs.bat (siehe oben) bekannt ist !!!! In diesem Beispiel-Fall ist es A58DA13791965BA7.job , jedoch ist der Eintrag bei jeder Verseuchung mit Swizzor ein anderer.
Man muss also den gleichen Eintrag in die remjob.bat einsetzen, welcher in der findjobs.bat gefunden wurde.

---------------------

A58DA13791965BA7.job -Beispiel:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A58DA13791965BA7.job
del A58DA13791965BA7.job


- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal



[ 11. ]

neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein



[ 12. ]

falls du mit dem IE surfst und noch nicht den Browser Firefox installiert hast, so installiere ihn. Stelle ihn als Standartbrowser ein . Der IE bleibt fuer die WindowsUpdates.

Anleitung: Anleitung Firefox installieren



Panda-Online-Scan ..man muss dann alles manuell loeschen !

Adware:Adware/Lop

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Draw Plus Find Else\KeepCoal.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Draw Plus Find Else\Soapglue.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\balm bird stop.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\oyrzmqmr.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\qpjcvenv.exe



mit CleanUp löschen

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLYNW16N\upAYB_unk[1].int
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8ZTR744N\upAYB_unk[1].int

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\10f246.exe
C:\Dokumente und Einstellungen\Userame\Lokale Einstellungen\Temp\62d114.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\1b17f4.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\56b624.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\faad3.exe

diese exe werden ständig nachgeladen, wenn man nicht alle Dateien unter "Anwendungsdaten" gelöscht hat.....



Panda-Online-Scan ..man muss dann alles manuell loeschen !

H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Bagsmp3.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Body debug.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\dateace.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Fork Bait.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\intra copy.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Window Rdr.exe

alle diese Ordner haben noch Unterordner:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk\ping web.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin\FRAGUSER.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\BIBBRO~1\Bird blah.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\LOUDDR~1\Plus exit.exe



meiner Meinung sollte man kein Proggie benutzen, mit oder ohne Sponsor, das einen Trojaner mit auf den PC bringt !!!

"Help improve Messenger Plus"...der reinste Witz!!! da man sich mit diesem "Help" den PC verseucht....

messenger3

Ok, back to the "Sponsor". It just keeps on trying to infect your PC - oh yeah, this is REAL appropriate for a pre-teen market !!!NOT!!!

C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.inf
C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll
C:\WINDOWS\Downloaded Program Files\MSNPupld.inf

C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\User\LOKALE~1\Temp\MsgPlusUninst.bat

c:\programme\messengerplus! 3\msgplush.dll
c:\programme\messengerplus! 3\detoured.dll
c:\programme\messengerplus! 3\resources\msgplusres.dll
c:\programme\messengerplus! 3\libsndfile.dll
c:\programme\messengerplus! 3\lame_enc.dll
c:\programme\messengerplus! 3\msgplus.exe
c:\programme\messengerplus! 3\richedhook.dll
c:\programme\messengerplus! 3\msgplusloader.dll



Spyware/Adware installiert ueber Messenger Plus!
Malware being advertised at Msgplus
http://inetexplorer.mvps.org/answers/44.html

- advertising PrecisionTime by Gator

- advertising Dashbar by Gator

- "free Smileys" advertised at msgplus.net come from "Smiley Central"

- PS. Patchou says he no longer advertises Smiley Central [Smiley Central are also SPAMMERS]

- SpyBlocs/eBlocs - Rogue Status Update

SpyBlocs and eBlocs have been on the Suspect/Rogue Anti-Spyware list since it was first published on July 26, and with good reason. Comments on the page state: aggressive, deceptive advertising; false positives work as goad to purchase


superantispyware

C:\Dokumente und Einstellungen\Username\Anwendungsdaten\ISOBOD~1\MULTIE~1.EXE
[Forintrabrowseview] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\up loud for intra\Intragrey.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\up loud for intra\Intragrey.exe
C:\Dokumente und Einstellungen\lllll\Anwendungsdaten\isobodypure\Multi else.exe
C:\Dokumente und Einstellungen\lllll\Anwendungsdaten\isobodypure\whjbyhdl.exe
C:\Programme\Adverts\uninst.exe
C:\WINDOWS\Prefetch\INTRAGREY.EXE-10365FE4.pf
C:\WINDOWS\Prefetch\MULTIE~1.EXE-1852AE4F.pf



Valid HTML 4.01 Ranking-Hits